1.本技术涉及信息安全
技术领域:
:,尤其涉及一种芯片、计算设备、动态度量方法及可读存储介质。
背景技术:
::2.内核是一个操作系统的核心,是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性,因此,内核的安全性非常重要。3.如何提高内核的安全性是本领域技术人员需要解决的技术问题。技术实现要素:4.有鉴于此,本技术实施例提供一种芯片、计算设备、动态度量方法及可读存储介质,能够有效提高内核的安全性。5.第一方面,本技术实施例提供一种芯片,包括:中央处理器核心、核心寄存器及安全处理器;其中,所述中央处理器核心分别与所述核心寄存器和所述安全处理器相连,所述安全处理器与所述核心寄存器相连;所述安全处理器,用于对所述核心寄存器中存储的信息进行动态度量。6.根据本技术实施例的一种具体实现方式,所述安全处理器,包括:核心寄存器信息获取模块,用于从所述核心寄存器中获取目标寄存器中存储的信息;保护模块,用于根据所述核心寄存器信息获取模块获取的所述目标寄存器中存储的信息,对所述目标寄存器中存储的信息进行动态度量。7.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器的度量基准值;对所述目标寄存器进行度量,得到所述目标寄存器的度量当前值;所述保护模块,具体用于根据所述度量基准值和所述度量当前值是否一致,确定所述目标寄存器的度量结果。8.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器中存储的初始信息,将所述目标寄存器中存储的初始信息,确定为所述目标寄存器的度量基准值;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;获取所述目标寄存器中存储的当前信息,将所述目标寄存器中存储的当前信息,确定为所述目标寄存器的度量当前值;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息。9.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器中存储的初始信息,根据所述目标寄存器中存储的初始信息和第一预设算法,确定所述目标寄存器的度量基准值;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;获取所述目标寄存器中存储的当前信息,根据所述目标寄存器中存储的当前信息以及所述第一预设算法,确定所述目标寄存器的度量当前值;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息。10.根据本技术实施例的一种具体实现方式,所述目标寄存器中存储的信息为地址信息;所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器中存储的初始地址信息,根据所述初始地址信息和第二预设算法,对所述初始地址信息对应的内存数据进行度量,得到第一度量结果,将所述第一度量结果确定为所述目标寄存器的度量基准值;获取所述目标寄存器中存储的当前地址信息,根据所述当前地址信息以及所述第二预设算法,对所述当前地址信息对应的内存数据进行度量,得到第二度量结果,将所述第二度量结果确定为所述目标寄存器的度量当前值。11.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:接收基本输入输出系统发送的配置信息;其中,所述配置信息包括所述目标寄存器信息;根据所述目标寄存器信息,访问所述目标寄存器,并获取所述目标寄存器中存储的初始信息;根据所述目标寄存器信息,访问所述目标寄存器,并获取目标寄存器中存储的当前信息。12.根据本技术实施例的一种具体实现方式,所述安全处理器,还包括:启动指令发送模块,用于在所述核心寄存器信息获取模块接收基本输入输出系统发送的配置信息之前,向所述基本输入输出系统发送启动指令,以使所述基本输入输出系统启动并配置所述配置信息。13.根据本技术实施例的一种具体实现方式,所述安全处理器,还用于对操作系统进行安全防护的安全软件进行动态度量。14.根据本技术实施例的一种具体实现方式,所述安全处理器对操作系统进行安全防护的安全软件进行动态度量,包括:接收所述中央处理器核心发送的度量任务创建请求,所述度量任务创建请求中包括所述安全软件在内存中的内存地址以及所述安全软件的度量基准值;根据所述度量任务创建请求,创建度量任务,并将所述度量任务的标识向所述处理器核心发送;接收所述处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对所述安全软件在内存中的内存地址的数据进行度量,得到所述安全软件的度量当前值。15.第二方面,本技术实施例提供一种计算设备,包括:芯片和第一内存,其中,所述芯片为前述任一实施方式所述的芯片,所述中央处理器核心和所述安全处理器分别与所述第一内存相连。16.根据本技术实施例的一种具体实现方式,还包括第二内存,所述第二内存与所述安全处理器相连。17.第三方面,本技术实施例提供一种动态度量方法,应用于安全处理器,包括:获取度量目标的度量基准值;其中,所述度量目标包括中央处理器核心对应的目标寄存器;对所述度量目标进行度量,得到所述度量目标的度量当前值;根据所述度量基准值和所述度量当前值是否一致,确定所述度量目标的度量结果。18.根据本技术实施例的一种具体实现方式,所述获取度量目标的度量基准值,包括:获取所述目标寄存器中存储的初始信息;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;将所述目标寄存器中存储的初始信息,确定为所述目标寄存器的度量基准值;其中,所述对所述度量目标进行动态度量,得到所述度量目标的度量当前值,包括:获取所述目标寄存器中存储的当前信息;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息;将所述目标寄存器中存储的当前信息,确定为所述目标寄存器的度量当前值。19.根据本技术实施例的一种具体实现方式,所述获取度量目标的度量基准值,包括:获取所述目标寄存器中存储的初始信息;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;根据所述目标寄存器中存储的初始信息和第一预设算法,确定所述目标寄存器的度量基准值;其中,所述对所述度量目标进行动态度量,得到所述度量目标的度量当前值,包括:获取所述目标寄存器中存储的当前信息;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息;根据所述目标寄存器中存储的当前信息以及所述第一预设算法,确定所述目标寄存器的度量当前值。20.根据本技术实施例的一种具体实现方式,所述目标寄存器中存储的信息为地址信息;所述获取度量目标的度量基准值,包括:获取所述目标寄存器中存储的初始地址信息,根据所述初始地址信息和第二预设算法,对所述初始地址信息对应的内存数据进行度量,得到第一度量结果,将所述第一度量结果确定为所述目标寄存器的度量基准值;其中,所述对所述度量目标进行度量,得到所述度量目标的度量当前值,包括:获取所述目标寄存器中存储的当前地址信息,根据所述当前地址信息以及所述第二预设算法,对所述当前地址信息对应的内存数据进行度量,得到第二度量结果,将所述第二度量结果确定为所述目标寄存器的度量当前值。21.根据本技术实施例的一种具体实现方式,所述获取所述目标寄存器中存储的初始信息,包括:接收基本输入输出系统发送的配置信息;其中,所述配置信息包括中央处理器核心对应的目标寄存器信息;根据所述目标寄存器信息,访问所述中央处理器核心对应的所述目标寄存器,并获取所述目标寄存器中存储的初始信息;其中,所述获取所述目标寄存器中存储的当前信息,包括:根据所述目标寄存器信息,访问所述中央处理器核心对应的所述目标寄存器,并获取目标寄存器中存储的当前信息。22.根据本技术实施例的一种具体实现方式,在接收基本输入输出系统发送的配置信息之前,所述方法还包括:向所述基本输入输出系统发送启动指令,以使所述基本输入输出系统启动并配置所述配置信息。23.根据本技术实施例的一种具体实现方式,所述度量目标还包括安全软件;所述获取度量目标的度量基准值,包括:接收所述中央处理器核心发送的度量任务创建请求,所述度量任务创建请求中包括所述安全软件在内存中的内存地址以及所述安全软件的度量基准值;所述对所述度量目标进行动态度量,得到所述度量目标的度量当前值,包括:根据所述度量任务创建请求,创建度量任务,并将所述度量任务的标识向所述处理器核心发送;接收所述处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对所述安全软件在内存中的内存地址的数据进行度量,得到所述安全软件的度量当前值。24.根据本技术实施例的一种具体实现方式,所述方法还包括:响应于根据所述度量基准值和所述度量当前值不一致,所述度量目标的度量结果为异常结果,根据预设的异常处理策略进行异常处理。25.第四方面,本技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的动态度量方法。26.本实施例的芯片、计算设备、动态度量方法及可读存储介质,通过中央处理器核心分别与核心寄存器和安全处理器相连,安全处理器与核心寄存器相连;安全处理器,用于对核心寄存器中存储的信息进行动态度量,由于安全处理器与核心寄存器相连,安全处理器可以访问核心寄存器中存储的数据,这样,安全处理器可以对核心寄存器中存储的信息进行动态度量,提高了核心寄存器中存储的信息的安全性,而核心寄存器中存储信息的安全性关系到内核的安全性,由于对核心寄存器中的安全性提高,从而能够有效地提高内核的安全性。附图说明27.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。28.图1为现有技术中带安全处理器架构处理器硬件架构图;29.图2为现有的通用安全软件的基本架构图;30.图3为本技术一实施例的芯片架构图;31.图4为本技术一实施例的安全处理器的软件架构图;32.图5为本技术一实施例提供的动态度量方法的流程示意图;33.图6为本技术又一实施例提供的动态度量方法的流程示意图;34.图7为现有技术中安全处理器通过基本输入输出系统启动操作系统的流程示意图;35.图8为本技术一实施例中的内存数据完整性保护的流程示意图;36.图9为本技术又一实施例中的对安全软件进行保护的流程示意图。具体实施方式37.下面结合附图对本技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本技术保护的范围。38.参见图1,现有技术中计算机系统包括中央处理器(cpu,centralprocessingunit/processor)核心、cpu核心系统寄存器、内存、安全处理器、安全处理器内存组成。其中,安全处理器满足以下要求:39.1.运行环境与cpu隔离,具有自己专用的内存资源,cpu无法直接访问;40.2.与cpu之间具有特定的通信接口,cpu通过该接口可以给安全处理器发送命令,安全处理器通过该接口返回命令处理的结果;41.3.安全处理器可以访问自己的内存和cpu的所有内存,cpu只能访问自己的内存,无法访问安全处理器的内存。42.4.核心寄存器只有cpu可以访问,安全处理器无法访问。43.基于以上情况,现有技术中的cpu核心的寄存器无法得到保护,而cpu核心中的一些寄存器(比如cr0.wp位)是一些漏洞或木马病毒所重点攻击的部分,因此,内核的安全性较低。44.对于内存数据,可以通过安全处理器对内存数据进行度量。45.此外,参见图2,现有的安全保护软件(比如lkrg)利用丰富的系统数据,实现了对系统多方面的保护,主要分为系统完整性保护与漏洞检测防御两个部分。系统完整性通过周期性哈希值计算方式对系统中需要保护内容计算哈希值,并与其基准值对比来判定是否内容被篡改;漏洞检测主要通过对系统中的重要进程信息、系统调用流程、文件操作等进行合法性检查判定,对不合法的漏洞攻击行为进行抵御。46.然而,现有的安全保护软件运行在系统层,无法抵御对自身的一些攻击,一旦自身被攻击失效,其保护的所有内容将全部失去保护处于风险中,且可能通过设计被绕过,导致内核安全性较低;并且,现有技术的完整性保护中周期性任务运行在cpu侧,且一般通过软件方式计算哈希值,摘要值计算效率低,周期性度量占用cpu资源较多,影响cpu性能。47.基于此,本技术提出一种芯片,能够对cpu核心对应的寄存器以及安全软件进行保护,从而,有效提高内核的安全性。48.为使本领域技术人员更好地理解本技术实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。49.本技术一实施例提供的一种芯片,可以包括:中央处理器核心、核心寄存器及安全处理器;其中,中央处理器核心分别与核心寄存器和安全处理器相连,安全处理器与核心寄存器相连;安全处理器,用于对核心寄存器中存储的信息进行动态度量,能够有效提高内核的安全性。50.图3为本技术一实施例提供的芯片的结构示意图,如图3所示,本实施例的芯片1,可以包括:中央处理器核心10、核心寄存器12及安全处理器14;其中,中央处理器核心10分别与核心寄存器12和安全处理器14相连,安全处理器14与核心寄存器12相连;安全处理器14,用于对核心寄存器12中存储的信息进行动态度量。51.本实施例的芯片1也可称为片上系统。52.中央处理器核心10(die)是中央处理器(cpu,centralprocessingunit/processor)最重要的组成部分。一般情况下,可由单晶硅以一定的生产工艺制造出来的,cpu所有的计算、接受/存储命令、处理数据都由核心执行。53.内核运行于中央处理器核心10上。54.核心寄存器12,也可称为中央处理器核心寄存器,为中央处理器核心10对应的寄存器。55.本实施例的目标寄存器可与操作系统内核的安全性相关。例如对某些目标寄存器的修改,会导致内核的安全受到威胁。56.在一些例子中,核心寄存器12可为控制寄存器cr0、系统寄存器cr4和/或模式特性寄存器msr。57.其中,cr0可为x86cpu的一个系统寄存器,提供了处理器一些特性控制和一些操作模式控制,比如cr0.wt表示写保护位,置1时表示处理器不允许对只读模式的页进行写操作,置0时可以对只读模式的页进行写操作。58.cr4可为x86cpu的一个系统寄存器,包含了一些不同处理器的额外控制特性。比如cr4.smap提供了超级用户模式的访问保护,cr4.smep提供了超级用户模式对用户模式软件执行的阻止保护。59.msr(model-specificregisters)可为x86cpu的一组模式相关的寄存器,包含了一系列模式相关的寄存器。60.安全处理器14(sp,secureprocessor),专用于系统管理和实现安全相关的功能。本实施例的安全处理器14可以对核心寄存器12中存储的信息进行动态度量。61.安全处理器14与核心寄存器12相连,即核心寄存器12对安全处理器14开放,安全处理器14可以访问核心寄存器12。62.安全处理器14,用于对核心寄存器12中存储的信息进行动态度量,具体可为安全处理器14可进行周期性计算哈希值,将哈希值与基准值对比确保受保护的内存段的信息不被篡改,一旦检测到篡改,可以发出异常信号警告用户。63.本实施例的芯片,通过中央处理器核心分别与核心寄存器和安全处理器相连,安全处理器与核心寄存器相连;安全处理器,用于对核心寄存器中存储的信息进行动态度量,由于安全处理器与核心寄存器相连,安全处理器可以访问核心寄存器中存储的数据,这样,安全处理器可以对核心寄存器中存储的信息进行动态度量,提高了核心寄存器中存储的信息的安全性,而核心寄存器中存储信息的安全性关系到内核的安全性,由于对核心寄存器中的安全性提高,从而能够有效地提高内核的安全性。64.参见图4,本技术又一实施例,与上述实施例基本相同,不同之处在于,安全处理器14可以包括:核心寄存器信息获取模块14a,用于从核心寄存器12中获取目标寄存器中存储的信息;保护模块14b,用于根据核心寄存器信息获取模块14a获取的目标寄存器中存储的信息,对目标寄存器中存储的信息进行动态度量。65.目标寄存器可为核心寄存器12中的一个或多个。66.目标寄存器可为中央处理器核心10的控制寄存器、系统寄存器和/或模式特性寄存器等等。67.其中,控制寄存器(controlregister)可为cr0,提供了处理器一些特性控制和一些操作模式控制,比如cr0.wt表示写保护位,置1时表示处理器不允许对只读模式的页进行写操作,置0时可以对只读模式的页进行写操作。68.系统寄存器可为cr4,包含了一些不同处理器的额外控制特性,比如cr4.smap提供了超级用户模式的访问保护,cr4.smep提供了超级用户模式对用户模式软件执行的阻止保护。69.模式特性寄存器(msr,model-specificregisters),为一组模式相关的寄存器,包含一系列模式相关的寄存器。70.中断描述符表寄存器(idtr,interruptdescriptortable)存放中断描述表地址信息,可以从寄存器中获取到相应的地址信息,获得要保护的数据内存块信息。其中,中断描述符表(idt,interruptdescriptortable),将每个异常或中断向量分别与它们的处理过程联系起来的一个表,可以理解为由不同的中断描述符组成的一个数组。71.可以理解的是,本实施例可以对目标寄存器中存储的信息进行度量,如果目标寄存器存储的信息为系统调用表的相关信息,则本实施例的安全处理器也可对该寄存器相关的系统调用表进行动态度量。72.系统调用表(sct:systemcalltable)是一张由指向实现各种系统调用的内核函数的函数指针组成的表,该表可以基于系统调用编号进行索引,来定位函数地址,完成系统调用。73.核心寄存器信息获取模块14a可以从核心寄存器12中获取目标寄存器中存储的信息,保护模块14b可以根据核心寄存器信息获取模块14a获取的目标寄存器中存储的信息,对目标寄存器中存储的信息进行动态度量。74.安全处理器14通过核心寄存器信息获取模块14a,直接从核心寄存器12中获取目标寄存器中存储的信息,在通过保护模块14b,对获取到的目标寄存器中存储的信息进行动态度量。75.本技术又一实施例,与上述实施例基本相同,不同之处在于,本实施例的核心寄存器信息获取模块14a,可具体用于:获取目标寄存器的度量基准值;对目标寄存器进行度量,得到目标寄存器的度量当前值。76.本实施例的获取目标寄存器的度量基准值可从核心寄存器信息获取模块14a以外的模块或部件中获取,也可由核心寄存器信息获取模块14a自身计算得到目标寄存器的基准值。77.本实施例中的核心寄存器信息获取模块14a,还可以对目标寄存器进行度量,得到目标寄存器的度量当前值。78.可以使用预设的度量方法对度量目标进行动态度量,可以理解的是,得到度量目标的度量当前值使用的度量方法与得到度量目标的度量基准值使用的度量方法相同。在一些例子中,度量方法可为哈希算法。79.为了减少计算步骤,提高运算效率,在一些例子中,核心寄存器信息获取模块14a,可以具体用于:80.获取目标寄存器中存储的初始信息,将目标寄存器中存储的初始信息,确定为目标寄存器的度量基准值。81.本实施例的目标寄存器中存储的初始信息可以包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。82.本实施例的目标寄存器中存储的初始信息为对目标寄存器进行度量前,在目标寄存器中存储的信息。83.获取目标寄存器中存储的当前信息,将目标寄存器中存储的当前信息,确定为目标寄存器的度量当前值。84.本实施例的目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。85.本实施例中的目标寄存器中存储的初始信息和当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。86.本实施例的将获取到的目标寄存器中存储的初始信息,不经过处理,直接确定为目标寄存器的度量基准值,即获取到的目标寄存器中存储的初始信息作为目标寄存器的度量基准值。87.获取到的目标寄存器中存储的当前信息,也不经过处理,直接确定为目标寄存器的度量当前值,即获取到的目标寄存器中存储的当前信息作为目标寄存器的度量当前值。88.为了减少计算量,提高运算效率,在又一些例子中,核心寄存器信息获取模块14a,可具体用于:89.获取目标寄存器中存储的初始信息,根据目标寄存器中存储的初始信息和第一预设算法,确定目标寄存器的度量基准值。90.本实施例的目标寄存器中存储的初始信息可以包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。91.获取目标寄存器中存储的当前信息,根据目标寄存器中存储的当前信息以及第一预设算法,确定目标寄存器的度量当前值。92.本实施例的目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。93.本实施例中的目标寄存器中存储的初始信息和当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。94.本实施例中,可以使用第一预设算法,对获取的目标寄存器中存储的初始信息进行计算,将计算结果确定目标寄存器的度量基准值,如可以使用哈希算法对获取的目标寄存器中存储的初始信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量基准值。95.同样,可以使用第一预设算法,对获取的目标寄存器中存储的当前信息进行计算,将计算结果确定目标寄存器的度量当前值,如可以使用哈希算法对获取的目标寄存器中存储的当前信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量当前值。96.为了对寄存器指向的内存地址中存储的数据进行保护,以提高内存数据的安全性,在再一些例子中,目标寄存器中存储的信息可以为地址信息;97.本实施例中的核心寄存器信息获取模块14a,可具体用于:98.获取目标寄存器中存储的初始地址信息,根据初始地址信息和第二预设算法,对初始地址信息对应的内存数据进行度量,得到第一度量结果,将第一度量结果确定为所述目标寄存器的度量基准值。99.获取目标寄存器中存储的当前地址信息,根据当前地址信息以及第二预设算法,对当前地址信息对应的内存数据进行度量,得到第二度量结果,将第二度量结果确定为目标寄存器的度量当前值。100.本实施例中,通过目标寄存器中存储的初始地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量基准值。101.通过目标寄存器中存储的当前地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量当前值。102.本实施例的第二预设算法可与前述实施例中的第一预设算法相同,也可不同。103.为了便于灵活地选择目标寄存器,本技术一实施例,与上述实施例基本相同,不同之处在于,本实施例的核心寄存器信息获取模块14a,可以具体用于:104.接收基本输入输出系统发送的配置信息。105.本实施例中的配置信息可以包括目标寄存器信息。106.根据目标寄存器信息,访问目标寄存器,并获取目标寄存器中存储的初始信息;根据目标寄存器信息,访问目标寄存器,并获取目标寄存器中存储的当前信息。107.基本输入输出系统(bios,basicinputoutputsystem),可为一组固化到计算机内主板上一个rom芯片(只读存储芯片)上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。108.在一具体实施例中,用户可以通过基本输入输出系统(bios,basicinputoutputsystem)输入目标寄存器的信息即配置信息,安全处理器14的核心寄存器信息获取模块14a可以接收该配置信息,并可以根据该配置信息,访问目标寄存器,获取目标寄存器存储的初始信息以及当前信息。109.为在系统启动后即可对中央处理器核心10对应的寄存器进行保护,在一些例子中,安全处理器14还可以包括:启动指令发送模块,用于在核心寄存器信息获取模块14a接收基本输入输出系统发送的配置信息之前,向基本输入输出系统发送启动指令,以使基本输入输出系统启动并配置所述配置信息。110.本实施例中,基本输入输出系统接收安全处理器14中的启动指令发送模块发出的启动指令后,基本输入输出系统启动,并且可以配置配置信息。111.在基本输入输出系统启动后,可向操作系统发送启动指令,以使操作系统启动。本实施例中,可以在系统启动过程中,配置用于确定目标寄存器的信息,进而,安全处理器14可以根据该信息,对目标寄存器进行度量,即从系统启动后,即可实现对目标寄存器的动态度量,避免了当前的动态度量技术的动态保护任务全部需要由管理员从软件层进行创建后才能开启保护,寄存器中的一些重要的数据如中断描述表等信息,没有从系统可信启动后即得到动态保护而导致的安全性较低的问题。112.为对操作系统进行安全防护的安全软件进行动态度量,提高系统的安全性,在一些例子中,安全处理器14还可以用于对操作系统进行安全防护的安全软件进行动态度量。113.在一可选实施例中,安全处理器14对操作系统进行安全防护的安全软件进行动态度量,可以包括:114.接收中央处理器核心10发送的度量任务创建请求。115.该度量任务创建请求中可以包括安全软件在内存中的内存地址以及安全软件的度量基准值。可选地,安全软件的度量基准值可由中央处理器核心10计算得到。116.根据度量任务创建请求,创建度量任务,并将度量任务的标识向处理器核心发送。117.度量任务的标识用于唯一确定度量任务。118.接收处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对所述安全软件在内存中的内存地址的数据进行度量,得到所述安全软件的度量当前值。119.本实施例的处理器核心发送的度量任务启动请求中包括度量任务标识,安全处理器14根据度量任务标识,确定之前创建的度量任务,在该度量任务中,可个根据第三预设算法,对安全软件在内存中的内存地址的数据进行度量,得到安全软件的度量当前值。120.本实施例的第三预设算法可以与前述实施例中的第一预设算法或第二预设算法相同。121.参见图3,本实施例的计算设备,可以包括:芯片1和第一内存2,其中,芯片1为前述实例中的任一实施例中的芯片1,中央处理器核心10和安全处理器14分别与第一内存2相连。122.处理器核心10和安全处理器14都能访问第一内存2。123.在一些例子中,计算设备还可以包括第二内存3,第二内存3与安全处理器14相连。124.第二内存3与第一内存2隔离。125.本实施例的第二内存3为安全处理器14专用,安全处理器14可以访问第二内存3,而处理器核心无法直接访问第二内存3。126.cpu系统寄存器只有cpu可以访问,安全处理器14无法访问。127.上述计算设备以多种形式存在,包括但不限于:128.(1)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等,例如ipad。129.(2)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。130.(3)其他具有数据交互功能的电子设备。131.图5为本技术一实施例提供的动态度量方法的流程示意图,如图5所示,本实施例的动态度量方法,应用于安全处理器,可以包括:132.s101、获取度量目标的度量基准值。133.安全处理器(sp,secureprocessor),专用于系统管理和实现安全相关的功能。134.本实施例中,度量目标可以包括中央处理器核心对应的目标寄存器。135.内核运行于中央处理器核心上。136.在一些例子中,目标寄存器可为中央处理器核心对应的所有寄存器,也可为中央处理器核心对应的部分寄存器。137.本实施例的目标寄存器可与内核的安全性相关。例如对某些目标寄存器的修改,会导致操作系统的安全受到威胁。138.目标寄存器可为中央处理器核心的控制寄存器、系统寄存器和/或模式特性寄存器等等。139.其中,控制寄存器(controlregister)可为cr0,提供了处理器一些特性控制和一些操作模式控制,比如cr0.wt表示写保护位,置1时表示处理器不允许对只读模式的页进行写操作,置0时可以对只读模式的页进行写操作。140.系统寄存器可为cr4,包含了一些不同处理器的额外控制特性,比如cr4.smap提供了超级用户模式的访问保护,cr4.smep提供了超级用户模式对用户模式软件执行的阻止保护。141.模式特性寄存器(msr,model-specificregisters),为一组模式相关的寄存器,包含一系列模式相关的寄存器。142.中断描述符表寄存器(idtr,interruptdescriptortable)存放中断描述表地址信息,可以从寄存器中获取到相应的地址信息,获得要保护的数据内存块信息。其中,中断描述符表(idt,interruptdescriptortable),将每个异常或中断向量分别与它们的处理过程联系起来的一个表,可以理解为由不同的中断描述符组成的一个数组。143.可以理解的是,本实施例可以对目标寄存器中存储的信息进行度量,如果目标寄存器存储的信息为系统调用表的相关信息,则本实施例的安全处理器也可对该寄存器相关的系统调用表进行动态度量。144.系统调用表(sct:systemcalltable)是一张由指向实现各种系统调用的内核函数的函数指针组成的表,该表可以基于系统调用编号进行索引,来定位函数地址,完成系统调用。145.本实施例可以从安全处理器以外的模块或部件获取度量目标的度量基准值,也可从安全处理器内部获取度量目标的度量基准值。146.s102、对度量目标进行动态度量,得到度量目标的度量当前值。147.可以使用预设的度量方法对度量目标进行动态度量,可以理解的是,得到度量目标的度量当前值使用的度量方法与得到度量目标的度量基准值使用的度量方法相同。在一些例子中,度量方法可为哈希算法。148.在一具体例子中,可周期性计算度量目标的哈希值,将哈希值与基准值对比,确保度量目标的信息不被篡改,一旦检测到篡改,可以发出异常信号警告用户。149.s103、根据度量基准值和度量当前值是否一致,确定度量目标的度量结果。150.可以根据度量基准值和度量当前值是否一致,确定度量目标的度量结果。当度量基准值和度量当前值一致,则度量目标未被篡改;当度量基准值和度量当前值不一致,则度量目标被篡改。151.本实施例,获取度量目标的度量基准值,度量目标包括中央处理器核心对应的目标寄存器,对度量目标进行动态度量,得到度量目标的度量当前值,根据度量基准值和度量当前值是否一致,确定度量目标的度量结果,由于通过安全处理器对中央处理器核心对应的目标寄存器进行度量,并且可以根据度量结果确定中央处理器核心对应的目标寄存器是否安全,从而,能够有效提高内核的安全性。152.参见图3,本实施例的过程对应的中央处理器硬件结构为安全处理器可通过硬件访问处理器核心,即硬件上将cpu核心侧的系统寄存器开放给安全处理器,安全处理器可以直接访问核心寄存器的内容。153.为了减少计算步骤,提高运算效率,在一些例子中,获取度量目标的度量基准值(s101),可以包括:154.a11、获取目标寄存器中存储的初始信息。155.本实施例中,目标寄存器中存储的初始信息包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。156.本实施例的目标寄存器中存储的初始信息为对目标寄存器进行度量前,在目标寄存器中存储的信息。157.a12、将目标寄存器中存储的初始信息,确定为目标寄存器的度量基准值。158.其中,对度量目标进行动态度量,得到度量目标的度量当前值(s102),可以包括:159.b11、获取目标寄存器中存储的当前信息。160.本实施例中,目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。161.本实施例中的目标寄存器中存储的初始信息和当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。162.b12、将目标寄存器中存储的当前信息,确定为目标寄存器的度量当前值。163.本实施例的将获取到的目标寄存器中存储的初始信息,不经过处理,直接确定为目标寄存器的度量基准值,即获取到的目标寄存器中存储的初始信息作为目标寄存器的度量基准值。164.获取到的目标寄存器中存储的当前信息,也不经过处理,直接确定为目标寄存器的度量当前值,即获取到的目标寄存器中存储的当前信息作为目标寄存器的度量当前值。165.为了减少计算量,提高运算效率,在又一些例子中,获取度量目标的度量基准值(s101),包括:166.a21、获取目标寄存器中存储的初始信息。167.本实施例中,目标寄存器中存储的初始信息可以包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。168.本实施例中的目标寄存器中存储的初始信息可为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。169.a22、根据目标寄存器中存储的初始信息和第一预设算法,确定目标寄存器的度量基准值。170.本实施例中,可以使用第一预设算法,对获取的目标寄存器中存储的初始信息进行计算,将计算结果确定目标寄存器的度量基准值,如可以使用哈希算法对获取的目标寄存器中存储的初始信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量基准值。171.其中,对度量目标进行动态度量,得到所述度量目标的度量当前值(s102),可以包括:172.b21、获取目标寄存器中存储的当前信息。173.本实施例中述目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。174.本实施例中的目标寄存器中存储的当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。175.b22、根据目标寄存器中存储的当前信息以及第一预设算法,确定目标寄存器的度量当前值。176.同样,可以使用第一预设算法,对获取的目标寄存器中存储的当前信息进行计算,将计算结果确定目标寄存器的度量当前值,如可以使用哈希算法对获取的目标寄存器中存储的当前信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量当前值。177.为进一步提高安全性,在一些例子中,第一预设算法可为基于硬件实现的算法。178.为了对寄存器指向的内存地址中存储的数据进行保护,确定内存数据是否安全,以提高内核的安全性,在再一些例子中,目标寄存器中存储的信息可为地址信息。179.目标寄存器中存储的地址信息可为内存地址信息,也可为虚拟地址信息。180.本实施例的获取度量目标的度量基准值(s101),可以包括:181.a31、获取目标寄存器中存储的初始地址信息,根据初始地址信息和第二预设算法,对初始地址信息对应的内存数据进行度量,得到第一度量结果,将第一度量结果确定为目标寄存器的度量基准值。182.本实施例的初始地址信息可为在度量任务启动前目标寄存器中存储的地址信息。183.通过目标寄存器中存储的初始地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量基准值。184.其中,对度量目标进行度量,得到度量目标的度量当前值(s102),可以包括:185.b31、获取目标寄存器中存储的当前地址信息,根据当前地址信息以及第二预设算法,对当前地址信息对应的内存数据进行度量,得到第二度量结果,将第二度量结果确定为目标寄存器的度量当前值。186.通过目标寄存器中存储的当前地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量当前值。187.本实施例的第二预设算法可与前述实施例中的第一预设算法相同,也可不同。188.为进一步提高安全性,在一些例子中,第二预设算法可为基于硬件实现的算法。189.为了便于灵活地选择目标寄存器,本技术一实施例,与上述实施例基本相同,不同之处在于,本实施例的获取目标寄存器中存储的初始信息(a11或a21),可以包括:190.a1.接收基本输入输出系统发送的配置信息。191.本实施例中,配置信息可以包括中央处理器核心对应的目标寄存器信息;192.基本输入输出系统(bios,basicinputoutputsystem),可为一组固化到计算机内主板上一个rom芯片(只读存储芯片)上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。193.a2.根据目标寄存器信息,访问中央处理器核心对应的目标寄存器,并获取目标寄存器中存储的初始信息。194.安全处理器可根据目标寄存器信息,访问中央处理器核心对应的目标寄存器,从而,获取目标寄存器上存储的初始信息。195.其中,获取目标寄存器中存储的当前信息(b11或b21),可以包括:196.b.根据目标寄存器信息,访问中央处理器核心对应的所述目标寄存器,并获取目标寄存器中存储的当前信息。197.在获取目标寄存器中存储的初始信息之后,可访问中央处理器核心对应的目标寄存器,以获取目标寄存器存储的当前值。198.为在系统启动后即可对中央处理器核心对应的寄存器进行保护,在一些例子中,在接收基本输入输出系统发送的配置信息(a1)之前,所述方法还可以包括:199.a3.向基本输入输出系统发送启动指令,以使基本输入输出系统启动并配置所述配置信息。200.在基本输入输出系统启动后,可向操作系统发送启动指令,以使操作系统启动。201.本实施例中,可以在系统启动过程中,配置用于确定目标寄存器的信息,进而,安全处理器可以根据该信息,对目标寄存器进行度量,即从系统启动后,即可实现对目标寄存器的动态度量,避免了当前的动态度量技术的动态保护任务全部需要由管理员从软件层进行创建后才能开启保护,寄存器中的一些重要的数据如中断描述表等信息,没有从系统可信启动后即得到动态保护而导致的安全性较低的问题。202.为对操作系统进行安全防护的安全软件进行动态度量,提高系统的安全性,在一些例子中,度量目标还可以包括安全软件;203.本实施例的获取度量目标的度量基准值(s101),可以包括:204.a41、接收中央处理器核心发送的度量任务创建请求。205.本实施例的度量任务创建请求中可以包括安全软件在内存中的内存地址以及安全软件的度量基准值。206.本实施例中的安全软件的度量基准值可由中央处理器核心计算得到。207.其中,对度量目标进行动态度量,得到所述度量目标的度量当前值(s102),可以包括:208.b41、根据度量任务创建请求,创建度量任务,并将度量任务的标识向处理器核心发送。209.安全处理器接收到中央处理器核心发送的度量请求后,安全处理器创建度量任务,本实施例的第二度量任务用于度量安全软件。210.b42、接收处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对安全软件在内存中的内存地址的数据进行度量,得到安全软件的度量当前值。211.本实施例的处理器核心发送的度量任务启动请求中包括度量任务标识,安全处理器根据度量任务标识,确定之前创建的度量任务,在该度量任务中,可个根据第三预设算法,对安全软件在内存中的内存地址的数据进行度量,得到安全软件的度量当前值。212.第三预设算法与计算安全软件的度量基准值时使用的算法相同。213.为进一步提高安全性,在一些例子中,第三预设算法可为基于硬件实现的算法。214.现有技术中,动态度量技术仅支持通过度量值与基准值对比方式进行判定异常,仅将需要保护数据作为一块内存,无法知道该块内存中的数据含义以及对应的数据结构,进而无法提供更细粒度的保护,本实施例中,动态度量技术与安全软件的合理结合,既弥补了安全软件自身的安全隐患,降低了中央处理器核心侧的性能消耗,又弥补了基于安全处理器的动态度量技术无法细粒度保护系统中一些重要数据的缺陷。215.为了对出现的异常情况进行处理,提高内核的安全性,在一些例子中,所述方法还可以包括:216.s104、响应于根据度量基准值和所述度量当前值不一致,度量目标的度量结果为异常结果,根据预设的异常处理策略进行异常处理。217.当度量基准值和所述度量当前值不一致时,度量结果为异常结果,则可以根据预设的异常处理策略进行异常处理。218.在一些例子中,预设的异常处理策略可在bios启动后,通过bios由用户配置、并向安全处理器发送,在通过bios配置预设的异常处理策略,还可配置发生异常时,异常处理的等级。219.当通过以上实施例的安全方案保护的数据出现异常或受到漏洞攻击时,可触发异常,此时,需要采取相应的处理策略。在一些例子中,异常处理策略可分为以下几种:220.(1)配置为最高处理等级时,一旦检测到异常,清理所有系统寄存器、清空保护项数据、触发宕机等措施。221.(2)配置为一般等级时,一旦检测到异常,将度量异常信息记录下来并使用安全处理器内部签名秘钥进行签名形成度量可信报告,供远程认证获取该信息并进一步处理。222.(3)配置为默认等级时,一旦检测到异常,可以通过保护任务创建时注册的异常回调函数通知,也可以通过安全处理器硬件连接的一些设备通知(比如喇叭、网络等)。223.还可以为安全保护软件根据软件自身的漏洞检测异常通知机制进行配置使用,也可以使用与上面异常处理机制类似的方法进行处理异常。224.下面以一具体实施例,对本技术的方案进行详细说明。225.参见图4,本实施例的软件架构主要包含核心寄存器信息获取模块和保护模块,对核心寄存器、系统内存数据完整性与漏洞检测抵御等三个部分进行保护。226.1、核心寄存器信息保护227.软件上在安全处理器中新增一个逻辑处理单元,该单元向上用于读取开放的系统寄存器信息,向下根据获取的不同寄存器的信息进行逻辑处理后分发,一些寄存器中重要的位比如cr0.wt,cr4.smap,cr4.smep等由该单元实时监控以确保不被非法篡改;一些寄存器比如idtr寄存器中存放中断描述表地址信息,可以从寄存器中获取到相应的地址信息,进行转换后获得要保护的数据内存块信息,进而可以在安全处理器内部自动实现动态完整性保护。228.参见图6,本实施例的流程如下:229.(1)参见图7,安全处理器与现有的安全启动流程一样开启可信启动引导流程。230.(2)可信启动引导到bios时,在bios中对需要保护的寄存器位及指向的重要数据信息进行配置。231.bios增加了寄存器信息保护配置设置,默认为使能保护系统寄存器中保护的数据,如果需要调整,用户可以通过bios使能或失能保护,同时可以通过bios选择需要保护的寄存器位与寄存器指向的重要数据信息以及其对应的异常处理策略。232.(3)bios配置完毕后,一方面bios继续与原有可信启动引导流程一样正常启动kernel;另一方面,通过bios与安全处理器内部通道传递bios侧配置后的寄存器信息与寄存器保护特定块信息(比如idt,sct)的异常处理策略。233.(4)安全处理器接收到bios传递过来的系统寄存器保护信息以及异常处理策略后,安全处理器根据寄存器保护信息读取需要保护的位信息以及计算相应保护内存信息的摘要值作为基准值,接着开启动态保护。234.(5)安全处理器开始周期性从核心寄存器读取信息,并经过处理后与初始记录的位值或基准值做对比,以确保需要保护内容的安全.235.(6)若对比一致,则周期性进行下一次的获取与保护,否则根据配置时配置对应的异常处理策略进行异常处理。236.本实施例,将cpu侧的重要系统寄存器(如cr0、cr4、msr等)开放给安全处理器,安全处理器可以从安全启动时自动读取到重要寄存器的内容并自行开始做度量保护,实现了在系统启动阶段,从硬件层对重要数据的保护,增强了数据的安全性。237.2、系统内存数据完整性保护238.参见图8,具体流程如下:239.(1)管理员获取系统中需要保护的内存地址。240.(2)cpu核心按照预设算法对内存中的数据进行度量,得到度量基准值。241.(3)cpu核心将内存地址及度量基准值向安全处理器发送。242.(4)安全处理器根据内存信息创建任务,返回任务id。243.本实施例的安全处理器可同时接受不通过的创建请求。244.(5)cpu核心注册异常处理器函数。245.(6)cpu核心向安全处理器发送启动度量任务保护的指令。246.(7)安全处理器开始对系统内存数据进行动态保护。247.3、漏洞检测抵御保护248.漏洞检测抵御相关技术针对已知的或未知的各种漏洞,构建出自身漏洞防御体系,当有新的命令或信息时,首先会经过漏洞检测软件详细检测,与自身的现有漏洞库中相关信息进行对比以及重要数据块进行检查,一旦检测到异常,漏洞检测软件将会丢弃相关信息或发出信息警告管理者进行处理,通过该方式,可以有效抵御大量的恶意攻击,然而安全软件本身的安全性也需得到保护。249.参见图9,使用动态度量技术实现了对安全软件自身进行保护,250.参见图9,管理员获取系统安全软件的内存信息,以对安全软件自身使用本技术以上实施例的动态度量方法进行保护,具体流程与系统内存数据完整性保护的方案类似。251.此外,为了降低对cpu核心的消耗,将安全软件中原本较耗cpu资源的周期性度量任务转移到“系统内存数据完整性保护”块由安全处理器来完成,具体过程可参照图8,仅在发送创建任务指令前,由管理员选择安全软件所能保护的数据的地址即可,其它步骤与图8相同。252.另外,安全软件(比如lkrg安全软件)位于内核层(cpu核心侧),只需要完成对内核层中的不合法控制流、非法提权以及其他各种漏洞攻击进行检测抵御。253.当通过以上安全方案保护的数据出现异常或受到漏洞攻击时,触发异常,需要采取相应的处理策略。可以根据处理器的实际能力选择配置,比如可以在系统创建保护任务时设置处理等级,由bios配置的启动自动保护的任务异常处理策略可以在bios层就完成配置。具体几种处理等级可供参考前述实施例中的相关内容。254.本实施例,利用动态度量技术将系统环境中安全保护软件(如lkrg)的周期性完整性保护任务从cpu侧转移到安全处理器侧来做,并使用安全处理器侧的硬件来计算哈希,取代原来的软件计算哈希方式,极大的提升了cpu的性能,而且,利用动态度量技术将系统环境中的安全保护软件动态保护起来,从硬件层面保证了保护软件的安全,增强了安全保护软件的安全与可信性,避免了保护软件自身的安全问题导致的安全隐患。255.本实施例充分利用动态度量与安全保护软件的各自优势进行组合,完成了一套既可以降低cpu性能消耗,又能拥有动态度量与保护软件所有优势的内核安全增强方案。256.上述实施例的方法,可以由上述芯片实施例的技术方案执行,其实现原理和技术效果类似,此处不再赘述。257.相应的,本技术的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种动态度量方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。258.需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。259.本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。260.尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。261.为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本技术时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。262.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。263.以上所述,仅为本技术的具体实施方式,但本技术的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本技术揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应以权利要求的保护范围为准。当前第1页12当前第1页12
技术领域:
:,尤其涉及一种芯片、计算设备、动态度量方法及可读存储介质。
背景技术:
::2.内核是一个操作系统的核心,是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性,因此,内核的安全性非常重要。3.如何提高内核的安全性是本领域技术人员需要解决的技术问题。技术实现要素:4.有鉴于此,本技术实施例提供一种芯片、计算设备、动态度量方法及可读存储介质,能够有效提高内核的安全性。5.第一方面,本技术实施例提供一种芯片,包括:中央处理器核心、核心寄存器及安全处理器;其中,所述中央处理器核心分别与所述核心寄存器和所述安全处理器相连,所述安全处理器与所述核心寄存器相连;所述安全处理器,用于对所述核心寄存器中存储的信息进行动态度量。6.根据本技术实施例的一种具体实现方式,所述安全处理器,包括:核心寄存器信息获取模块,用于从所述核心寄存器中获取目标寄存器中存储的信息;保护模块,用于根据所述核心寄存器信息获取模块获取的所述目标寄存器中存储的信息,对所述目标寄存器中存储的信息进行动态度量。7.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器的度量基准值;对所述目标寄存器进行度量,得到所述目标寄存器的度量当前值;所述保护模块,具体用于根据所述度量基准值和所述度量当前值是否一致,确定所述目标寄存器的度量结果。8.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器中存储的初始信息,将所述目标寄存器中存储的初始信息,确定为所述目标寄存器的度量基准值;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;获取所述目标寄存器中存储的当前信息,将所述目标寄存器中存储的当前信息,确定为所述目标寄存器的度量当前值;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息。9.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器中存储的初始信息,根据所述目标寄存器中存储的初始信息和第一预设算法,确定所述目标寄存器的度量基准值;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;获取所述目标寄存器中存储的当前信息,根据所述目标寄存器中存储的当前信息以及所述第一预设算法,确定所述目标寄存器的度量当前值;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息。10.根据本技术实施例的一种具体实现方式,所述目标寄存器中存储的信息为地址信息;所述核心寄存器信息获取模块,具体用于:获取所述目标寄存器中存储的初始地址信息,根据所述初始地址信息和第二预设算法,对所述初始地址信息对应的内存数据进行度量,得到第一度量结果,将所述第一度量结果确定为所述目标寄存器的度量基准值;获取所述目标寄存器中存储的当前地址信息,根据所述当前地址信息以及所述第二预设算法,对所述当前地址信息对应的内存数据进行度量,得到第二度量结果,将所述第二度量结果确定为所述目标寄存器的度量当前值。11.根据本技术实施例的一种具体实现方式,所述核心寄存器信息获取模块,具体用于:接收基本输入输出系统发送的配置信息;其中,所述配置信息包括所述目标寄存器信息;根据所述目标寄存器信息,访问所述目标寄存器,并获取所述目标寄存器中存储的初始信息;根据所述目标寄存器信息,访问所述目标寄存器,并获取目标寄存器中存储的当前信息。12.根据本技术实施例的一种具体实现方式,所述安全处理器,还包括:启动指令发送模块,用于在所述核心寄存器信息获取模块接收基本输入输出系统发送的配置信息之前,向所述基本输入输出系统发送启动指令,以使所述基本输入输出系统启动并配置所述配置信息。13.根据本技术实施例的一种具体实现方式,所述安全处理器,还用于对操作系统进行安全防护的安全软件进行动态度量。14.根据本技术实施例的一种具体实现方式,所述安全处理器对操作系统进行安全防护的安全软件进行动态度量,包括:接收所述中央处理器核心发送的度量任务创建请求,所述度量任务创建请求中包括所述安全软件在内存中的内存地址以及所述安全软件的度量基准值;根据所述度量任务创建请求,创建度量任务,并将所述度量任务的标识向所述处理器核心发送;接收所述处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对所述安全软件在内存中的内存地址的数据进行度量,得到所述安全软件的度量当前值。15.第二方面,本技术实施例提供一种计算设备,包括:芯片和第一内存,其中,所述芯片为前述任一实施方式所述的芯片,所述中央处理器核心和所述安全处理器分别与所述第一内存相连。16.根据本技术实施例的一种具体实现方式,还包括第二内存,所述第二内存与所述安全处理器相连。17.第三方面,本技术实施例提供一种动态度量方法,应用于安全处理器,包括:获取度量目标的度量基准值;其中,所述度量目标包括中央处理器核心对应的目标寄存器;对所述度量目标进行度量,得到所述度量目标的度量当前值;根据所述度量基准值和所述度量当前值是否一致,确定所述度量目标的度量结果。18.根据本技术实施例的一种具体实现方式,所述获取度量目标的度量基准值,包括:获取所述目标寄存器中存储的初始信息;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;将所述目标寄存器中存储的初始信息,确定为所述目标寄存器的度量基准值;其中,所述对所述度量目标进行动态度量,得到所述度量目标的度量当前值,包括:获取所述目标寄存器中存储的当前信息;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息;将所述目标寄存器中存储的当前信息,确定为所述目标寄存器的度量当前值。19.根据本技术实施例的一种具体实现方式,所述获取度量目标的度量基准值,包括:获取所述目标寄存器中存储的初始信息;其中,所述目标寄存器中存储的初始信息包括:所述目标寄存器中各位存储的初始信息,或者所述目标寄存器中的目标位上存储的初始信息;根据所述目标寄存器中存储的初始信息和第一预设算法,确定所述目标寄存器的度量基准值;其中,所述对所述度量目标进行动态度量,得到所述度量目标的度量当前值,包括:获取所述目标寄存器中存储的当前信息;其中,所述目标寄存器中存储的当前信息包括:所述目标寄存器中各位存储的当前信息,或者所述目标寄存器中的目标位上存储的当前信息;根据所述目标寄存器中存储的当前信息以及所述第一预设算法,确定所述目标寄存器的度量当前值。20.根据本技术实施例的一种具体实现方式,所述目标寄存器中存储的信息为地址信息;所述获取度量目标的度量基准值,包括:获取所述目标寄存器中存储的初始地址信息,根据所述初始地址信息和第二预设算法,对所述初始地址信息对应的内存数据进行度量,得到第一度量结果,将所述第一度量结果确定为所述目标寄存器的度量基准值;其中,所述对所述度量目标进行度量,得到所述度量目标的度量当前值,包括:获取所述目标寄存器中存储的当前地址信息,根据所述当前地址信息以及所述第二预设算法,对所述当前地址信息对应的内存数据进行度量,得到第二度量结果,将所述第二度量结果确定为所述目标寄存器的度量当前值。21.根据本技术实施例的一种具体实现方式,所述获取所述目标寄存器中存储的初始信息,包括:接收基本输入输出系统发送的配置信息;其中,所述配置信息包括中央处理器核心对应的目标寄存器信息;根据所述目标寄存器信息,访问所述中央处理器核心对应的所述目标寄存器,并获取所述目标寄存器中存储的初始信息;其中,所述获取所述目标寄存器中存储的当前信息,包括:根据所述目标寄存器信息,访问所述中央处理器核心对应的所述目标寄存器,并获取目标寄存器中存储的当前信息。22.根据本技术实施例的一种具体实现方式,在接收基本输入输出系统发送的配置信息之前,所述方法还包括:向所述基本输入输出系统发送启动指令,以使所述基本输入输出系统启动并配置所述配置信息。23.根据本技术实施例的一种具体实现方式,所述度量目标还包括安全软件;所述获取度量目标的度量基准值,包括:接收所述中央处理器核心发送的度量任务创建请求,所述度量任务创建请求中包括所述安全软件在内存中的内存地址以及所述安全软件的度量基准值;所述对所述度量目标进行动态度量,得到所述度量目标的度量当前值,包括:根据所述度量任务创建请求,创建度量任务,并将所述度量任务的标识向所述处理器核心发送;接收所述处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对所述安全软件在内存中的内存地址的数据进行度量,得到所述安全软件的度量当前值。24.根据本技术实施例的一种具体实现方式,所述方法还包括:响应于根据所述度量基准值和所述度量当前值不一致,所述度量目标的度量结果为异常结果,根据预设的异常处理策略进行异常处理。25.第四方面,本技术实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的动态度量方法。26.本实施例的芯片、计算设备、动态度量方法及可读存储介质,通过中央处理器核心分别与核心寄存器和安全处理器相连,安全处理器与核心寄存器相连;安全处理器,用于对核心寄存器中存储的信息进行动态度量,由于安全处理器与核心寄存器相连,安全处理器可以访问核心寄存器中存储的数据,这样,安全处理器可以对核心寄存器中存储的信息进行动态度量,提高了核心寄存器中存储的信息的安全性,而核心寄存器中存储信息的安全性关系到内核的安全性,由于对核心寄存器中的安全性提高,从而能够有效地提高内核的安全性。附图说明27.为了更清楚地说明本技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。28.图1为现有技术中带安全处理器架构处理器硬件架构图;29.图2为现有的通用安全软件的基本架构图;30.图3为本技术一实施例的芯片架构图;31.图4为本技术一实施例的安全处理器的软件架构图;32.图5为本技术一实施例提供的动态度量方法的流程示意图;33.图6为本技术又一实施例提供的动态度量方法的流程示意图;34.图7为现有技术中安全处理器通过基本输入输出系统启动操作系统的流程示意图;35.图8为本技术一实施例中的内存数据完整性保护的流程示意图;36.图9为本技术又一实施例中的对安全软件进行保护的流程示意图。具体实施方式37.下面结合附图对本技术实施例进行详细描述。应当明确,所描述的实施例仅仅是本技术一部分实施例,而不是全部的实施例。基于本技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本技术保护的范围。38.参见图1,现有技术中计算机系统包括中央处理器(cpu,centralprocessingunit/processor)核心、cpu核心系统寄存器、内存、安全处理器、安全处理器内存组成。其中,安全处理器满足以下要求:39.1.运行环境与cpu隔离,具有自己专用的内存资源,cpu无法直接访问;40.2.与cpu之间具有特定的通信接口,cpu通过该接口可以给安全处理器发送命令,安全处理器通过该接口返回命令处理的结果;41.3.安全处理器可以访问自己的内存和cpu的所有内存,cpu只能访问自己的内存,无法访问安全处理器的内存。42.4.核心寄存器只有cpu可以访问,安全处理器无法访问。43.基于以上情况,现有技术中的cpu核心的寄存器无法得到保护,而cpu核心中的一些寄存器(比如cr0.wp位)是一些漏洞或木马病毒所重点攻击的部分,因此,内核的安全性较低。44.对于内存数据,可以通过安全处理器对内存数据进行度量。45.此外,参见图2,现有的安全保护软件(比如lkrg)利用丰富的系统数据,实现了对系统多方面的保护,主要分为系统完整性保护与漏洞检测防御两个部分。系统完整性通过周期性哈希值计算方式对系统中需要保护内容计算哈希值,并与其基准值对比来判定是否内容被篡改;漏洞检测主要通过对系统中的重要进程信息、系统调用流程、文件操作等进行合法性检查判定,对不合法的漏洞攻击行为进行抵御。46.然而,现有的安全保护软件运行在系统层,无法抵御对自身的一些攻击,一旦自身被攻击失效,其保护的所有内容将全部失去保护处于风险中,且可能通过设计被绕过,导致内核安全性较低;并且,现有技术的完整性保护中周期性任务运行在cpu侧,且一般通过软件方式计算哈希值,摘要值计算效率低,周期性度量占用cpu资源较多,影响cpu性能。47.基于此,本技术提出一种芯片,能够对cpu核心对应的寄存器以及安全软件进行保护,从而,有效提高内核的安全性。48.为使本领域技术人员更好地理解本技术实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。49.本技术一实施例提供的一种芯片,可以包括:中央处理器核心、核心寄存器及安全处理器;其中,中央处理器核心分别与核心寄存器和安全处理器相连,安全处理器与核心寄存器相连;安全处理器,用于对核心寄存器中存储的信息进行动态度量,能够有效提高内核的安全性。50.图3为本技术一实施例提供的芯片的结构示意图,如图3所示,本实施例的芯片1,可以包括:中央处理器核心10、核心寄存器12及安全处理器14;其中,中央处理器核心10分别与核心寄存器12和安全处理器14相连,安全处理器14与核心寄存器12相连;安全处理器14,用于对核心寄存器12中存储的信息进行动态度量。51.本实施例的芯片1也可称为片上系统。52.中央处理器核心10(die)是中央处理器(cpu,centralprocessingunit/processor)最重要的组成部分。一般情况下,可由单晶硅以一定的生产工艺制造出来的,cpu所有的计算、接受/存储命令、处理数据都由核心执行。53.内核运行于中央处理器核心10上。54.核心寄存器12,也可称为中央处理器核心寄存器,为中央处理器核心10对应的寄存器。55.本实施例的目标寄存器可与操作系统内核的安全性相关。例如对某些目标寄存器的修改,会导致内核的安全受到威胁。56.在一些例子中,核心寄存器12可为控制寄存器cr0、系统寄存器cr4和/或模式特性寄存器msr。57.其中,cr0可为x86cpu的一个系统寄存器,提供了处理器一些特性控制和一些操作模式控制,比如cr0.wt表示写保护位,置1时表示处理器不允许对只读模式的页进行写操作,置0时可以对只读模式的页进行写操作。58.cr4可为x86cpu的一个系统寄存器,包含了一些不同处理器的额外控制特性。比如cr4.smap提供了超级用户模式的访问保护,cr4.smep提供了超级用户模式对用户模式软件执行的阻止保护。59.msr(model-specificregisters)可为x86cpu的一组模式相关的寄存器,包含了一系列模式相关的寄存器。60.安全处理器14(sp,secureprocessor),专用于系统管理和实现安全相关的功能。本实施例的安全处理器14可以对核心寄存器12中存储的信息进行动态度量。61.安全处理器14与核心寄存器12相连,即核心寄存器12对安全处理器14开放,安全处理器14可以访问核心寄存器12。62.安全处理器14,用于对核心寄存器12中存储的信息进行动态度量,具体可为安全处理器14可进行周期性计算哈希值,将哈希值与基准值对比确保受保护的内存段的信息不被篡改,一旦检测到篡改,可以发出异常信号警告用户。63.本实施例的芯片,通过中央处理器核心分别与核心寄存器和安全处理器相连,安全处理器与核心寄存器相连;安全处理器,用于对核心寄存器中存储的信息进行动态度量,由于安全处理器与核心寄存器相连,安全处理器可以访问核心寄存器中存储的数据,这样,安全处理器可以对核心寄存器中存储的信息进行动态度量,提高了核心寄存器中存储的信息的安全性,而核心寄存器中存储信息的安全性关系到内核的安全性,由于对核心寄存器中的安全性提高,从而能够有效地提高内核的安全性。64.参见图4,本技术又一实施例,与上述实施例基本相同,不同之处在于,安全处理器14可以包括:核心寄存器信息获取模块14a,用于从核心寄存器12中获取目标寄存器中存储的信息;保护模块14b,用于根据核心寄存器信息获取模块14a获取的目标寄存器中存储的信息,对目标寄存器中存储的信息进行动态度量。65.目标寄存器可为核心寄存器12中的一个或多个。66.目标寄存器可为中央处理器核心10的控制寄存器、系统寄存器和/或模式特性寄存器等等。67.其中,控制寄存器(controlregister)可为cr0,提供了处理器一些特性控制和一些操作模式控制,比如cr0.wt表示写保护位,置1时表示处理器不允许对只读模式的页进行写操作,置0时可以对只读模式的页进行写操作。68.系统寄存器可为cr4,包含了一些不同处理器的额外控制特性,比如cr4.smap提供了超级用户模式的访问保护,cr4.smep提供了超级用户模式对用户模式软件执行的阻止保护。69.模式特性寄存器(msr,model-specificregisters),为一组模式相关的寄存器,包含一系列模式相关的寄存器。70.中断描述符表寄存器(idtr,interruptdescriptortable)存放中断描述表地址信息,可以从寄存器中获取到相应的地址信息,获得要保护的数据内存块信息。其中,中断描述符表(idt,interruptdescriptortable),将每个异常或中断向量分别与它们的处理过程联系起来的一个表,可以理解为由不同的中断描述符组成的一个数组。71.可以理解的是,本实施例可以对目标寄存器中存储的信息进行度量,如果目标寄存器存储的信息为系统调用表的相关信息,则本实施例的安全处理器也可对该寄存器相关的系统调用表进行动态度量。72.系统调用表(sct:systemcalltable)是一张由指向实现各种系统调用的内核函数的函数指针组成的表,该表可以基于系统调用编号进行索引,来定位函数地址,完成系统调用。73.核心寄存器信息获取模块14a可以从核心寄存器12中获取目标寄存器中存储的信息,保护模块14b可以根据核心寄存器信息获取模块14a获取的目标寄存器中存储的信息,对目标寄存器中存储的信息进行动态度量。74.安全处理器14通过核心寄存器信息获取模块14a,直接从核心寄存器12中获取目标寄存器中存储的信息,在通过保护模块14b,对获取到的目标寄存器中存储的信息进行动态度量。75.本技术又一实施例,与上述实施例基本相同,不同之处在于,本实施例的核心寄存器信息获取模块14a,可具体用于:获取目标寄存器的度量基准值;对目标寄存器进行度量,得到目标寄存器的度量当前值。76.本实施例的获取目标寄存器的度量基准值可从核心寄存器信息获取模块14a以外的模块或部件中获取,也可由核心寄存器信息获取模块14a自身计算得到目标寄存器的基准值。77.本实施例中的核心寄存器信息获取模块14a,还可以对目标寄存器进行度量,得到目标寄存器的度量当前值。78.可以使用预设的度量方法对度量目标进行动态度量,可以理解的是,得到度量目标的度量当前值使用的度量方法与得到度量目标的度量基准值使用的度量方法相同。在一些例子中,度量方法可为哈希算法。79.为了减少计算步骤,提高运算效率,在一些例子中,核心寄存器信息获取模块14a,可以具体用于:80.获取目标寄存器中存储的初始信息,将目标寄存器中存储的初始信息,确定为目标寄存器的度量基准值。81.本实施例的目标寄存器中存储的初始信息可以包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。82.本实施例的目标寄存器中存储的初始信息为对目标寄存器进行度量前,在目标寄存器中存储的信息。83.获取目标寄存器中存储的当前信息,将目标寄存器中存储的当前信息,确定为目标寄存器的度量当前值。84.本实施例的目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。85.本实施例中的目标寄存器中存储的初始信息和当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。86.本实施例的将获取到的目标寄存器中存储的初始信息,不经过处理,直接确定为目标寄存器的度量基准值,即获取到的目标寄存器中存储的初始信息作为目标寄存器的度量基准值。87.获取到的目标寄存器中存储的当前信息,也不经过处理,直接确定为目标寄存器的度量当前值,即获取到的目标寄存器中存储的当前信息作为目标寄存器的度量当前值。88.为了减少计算量,提高运算效率,在又一些例子中,核心寄存器信息获取模块14a,可具体用于:89.获取目标寄存器中存储的初始信息,根据目标寄存器中存储的初始信息和第一预设算法,确定目标寄存器的度量基准值。90.本实施例的目标寄存器中存储的初始信息可以包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。91.获取目标寄存器中存储的当前信息,根据目标寄存器中存储的当前信息以及第一预设算法,确定目标寄存器的度量当前值。92.本实施例的目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。93.本实施例中的目标寄存器中存储的初始信息和当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。94.本实施例中,可以使用第一预设算法,对获取的目标寄存器中存储的初始信息进行计算,将计算结果确定目标寄存器的度量基准值,如可以使用哈希算法对获取的目标寄存器中存储的初始信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量基准值。95.同样,可以使用第一预设算法,对获取的目标寄存器中存储的当前信息进行计算,将计算结果确定目标寄存器的度量当前值,如可以使用哈希算法对获取的目标寄存器中存储的当前信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量当前值。96.为了对寄存器指向的内存地址中存储的数据进行保护,以提高内存数据的安全性,在再一些例子中,目标寄存器中存储的信息可以为地址信息;97.本实施例中的核心寄存器信息获取模块14a,可具体用于:98.获取目标寄存器中存储的初始地址信息,根据初始地址信息和第二预设算法,对初始地址信息对应的内存数据进行度量,得到第一度量结果,将第一度量结果确定为所述目标寄存器的度量基准值。99.获取目标寄存器中存储的当前地址信息,根据当前地址信息以及第二预设算法,对当前地址信息对应的内存数据进行度量,得到第二度量结果,将第二度量结果确定为目标寄存器的度量当前值。100.本实施例中,通过目标寄存器中存储的初始地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量基准值。101.通过目标寄存器中存储的当前地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量当前值。102.本实施例的第二预设算法可与前述实施例中的第一预设算法相同,也可不同。103.为了便于灵活地选择目标寄存器,本技术一实施例,与上述实施例基本相同,不同之处在于,本实施例的核心寄存器信息获取模块14a,可以具体用于:104.接收基本输入输出系统发送的配置信息。105.本实施例中的配置信息可以包括目标寄存器信息。106.根据目标寄存器信息,访问目标寄存器,并获取目标寄存器中存储的初始信息;根据目标寄存器信息,访问目标寄存器,并获取目标寄存器中存储的当前信息。107.基本输入输出系统(bios,basicinputoutputsystem),可为一组固化到计算机内主板上一个rom芯片(只读存储芯片)上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。108.在一具体实施例中,用户可以通过基本输入输出系统(bios,basicinputoutputsystem)输入目标寄存器的信息即配置信息,安全处理器14的核心寄存器信息获取模块14a可以接收该配置信息,并可以根据该配置信息,访问目标寄存器,获取目标寄存器存储的初始信息以及当前信息。109.为在系统启动后即可对中央处理器核心10对应的寄存器进行保护,在一些例子中,安全处理器14还可以包括:启动指令发送模块,用于在核心寄存器信息获取模块14a接收基本输入输出系统发送的配置信息之前,向基本输入输出系统发送启动指令,以使基本输入输出系统启动并配置所述配置信息。110.本实施例中,基本输入输出系统接收安全处理器14中的启动指令发送模块发出的启动指令后,基本输入输出系统启动,并且可以配置配置信息。111.在基本输入输出系统启动后,可向操作系统发送启动指令,以使操作系统启动。本实施例中,可以在系统启动过程中,配置用于确定目标寄存器的信息,进而,安全处理器14可以根据该信息,对目标寄存器进行度量,即从系统启动后,即可实现对目标寄存器的动态度量,避免了当前的动态度量技术的动态保护任务全部需要由管理员从软件层进行创建后才能开启保护,寄存器中的一些重要的数据如中断描述表等信息,没有从系统可信启动后即得到动态保护而导致的安全性较低的问题。112.为对操作系统进行安全防护的安全软件进行动态度量,提高系统的安全性,在一些例子中,安全处理器14还可以用于对操作系统进行安全防护的安全软件进行动态度量。113.在一可选实施例中,安全处理器14对操作系统进行安全防护的安全软件进行动态度量,可以包括:114.接收中央处理器核心10发送的度量任务创建请求。115.该度量任务创建请求中可以包括安全软件在内存中的内存地址以及安全软件的度量基准值。可选地,安全软件的度量基准值可由中央处理器核心10计算得到。116.根据度量任务创建请求,创建度量任务,并将度量任务的标识向处理器核心发送。117.度量任务的标识用于唯一确定度量任务。118.接收处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对所述安全软件在内存中的内存地址的数据进行度量,得到所述安全软件的度量当前值。119.本实施例的处理器核心发送的度量任务启动请求中包括度量任务标识,安全处理器14根据度量任务标识,确定之前创建的度量任务,在该度量任务中,可个根据第三预设算法,对安全软件在内存中的内存地址的数据进行度量,得到安全软件的度量当前值。120.本实施例的第三预设算法可以与前述实施例中的第一预设算法或第二预设算法相同。121.参见图3,本实施例的计算设备,可以包括:芯片1和第一内存2,其中,芯片1为前述实例中的任一实施例中的芯片1,中央处理器核心10和安全处理器14分别与第一内存2相连。122.处理器核心10和安全处理器14都能访问第一内存2。123.在一些例子中,计算设备还可以包括第二内存3,第二内存3与安全处理器14相连。124.第二内存3与第一内存2隔离。125.本实施例的第二内存3为安全处理器14专用,安全处理器14可以访问第二内存3,而处理器核心无法直接访问第二内存3。126.cpu系统寄存器只有cpu可以访问,安全处理器14无法访问。127.上述计算设备以多种形式存在,包括但不限于:128.(1)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:pda、mid和umpc设备等,例如ipad。129.(2)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。130.(3)其他具有数据交互功能的电子设备。131.图5为本技术一实施例提供的动态度量方法的流程示意图,如图5所示,本实施例的动态度量方法,应用于安全处理器,可以包括:132.s101、获取度量目标的度量基准值。133.安全处理器(sp,secureprocessor),专用于系统管理和实现安全相关的功能。134.本实施例中,度量目标可以包括中央处理器核心对应的目标寄存器。135.内核运行于中央处理器核心上。136.在一些例子中,目标寄存器可为中央处理器核心对应的所有寄存器,也可为中央处理器核心对应的部分寄存器。137.本实施例的目标寄存器可与内核的安全性相关。例如对某些目标寄存器的修改,会导致操作系统的安全受到威胁。138.目标寄存器可为中央处理器核心的控制寄存器、系统寄存器和/或模式特性寄存器等等。139.其中,控制寄存器(controlregister)可为cr0,提供了处理器一些特性控制和一些操作模式控制,比如cr0.wt表示写保护位,置1时表示处理器不允许对只读模式的页进行写操作,置0时可以对只读模式的页进行写操作。140.系统寄存器可为cr4,包含了一些不同处理器的额外控制特性,比如cr4.smap提供了超级用户模式的访问保护,cr4.smep提供了超级用户模式对用户模式软件执行的阻止保护。141.模式特性寄存器(msr,model-specificregisters),为一组模式相关的寄存器,包含一系列模式相关的寄存器。142.中断描述符表寄存器(idtr,interruptdescriptortable)存放中断描述表地址信息,可以从寄存器中获取到相应的地址信息,获得要保护的数据内存块信息。其中,中断描述符表(idt,interruptdescriptortable),将每个异常或中断向量分别与它们的处理过程联系起来的一个表,可以理解为由不同的中断描述符组成的一个数组。143.可以理解的是,本实施例可以对目标寄存器中存储的信息进行度量,如果目标寄存器存储的信息为系统调用表的相关信息,则本实施例的安全处理器也可对该寄存器相关的系统调用表进行动态度量。144.系统调用表(sct:systemcalltable)是一张由指向实现各种系统调用的内核函数的函数指针组成的表,该表可以基于系统调用编号进行索引,来定位函数地址,完成系统调用。145.本实施例可以从安全处理器以外的模块或部件获取度量目标的度量基准值,也可从安全处理器内部获取度量目标的度量基准值。146.s102、对度量目标进行动态度量,得到度量目标的度量当前值。147.可以使用预设的度量方法对度量目标进行动态度量,可以理解的是,得到度量目标的度量当前值使用的度量方法与得到度量目标的度量基准值使用的度量方法相同。在一些例子中,度量方法可为哈希算法。148.在一具体例子中,可周期性计算度量目标的哈希值,将哈希值与基准值对比,确保度量目标的信息不被篡改,一旦检测到篡改,可以发出异常信号警告用户。149.s103、根据度量基准值和度量当前值是否一致,确定度量目标的度量结果。150.可以根据度量基准值和度量当前值是否一致,确定度量目标的度量结果。当度量基准值和度量当前值一致,则度量目标未被篡改;当度量基准值和度量当前值不一致,则度量目标被篡改。151.本实施例,获取度量目标的度量基准值,度量目标包括中央处理器核心对应的目标寄存器,对度量目标进行动态度量,得到度量目标的度量当前值,根据度量基准值和度量当前值是否一致,确定度量目标的度量结果,由于通过安全处理器对中央处理器核心对应的目标寄存器进行度量,并且可以根据度量结果确定中央处理器核心对应的目标寄存器是否安全,从而,能够有效提高内核的安全性。152.参见图3,本实施例的过程对应的中央处理器硬件结构为安全处理器可通过硬件访问处理器核心,即硬件上将cpu核心侧的系统寄存器开放给安全处理器,安全处理器可以直接访问核心寄存器的内容。153.为了减少计算步骤,提高运算效率,在一些例子中,获取度量目标的度量基准值(s101),可以包括:154.a11、获取目标寄存器中存储的初始信息。155.本实施例中,目标寄存器中存储的初始信息包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。156.本实施例的目标寄存器中存储的初始信息为对目标寄存器进行度量前,在目标寄存器中存储的信息。157.a12、将目标寄存器中存储的初始信息,确定为目标寄存器的度量基准值。158.其中,对度量目标进行动态度量,得到度量目标的度量当前值(s102),可以包括:159.b11、获取目标寄存器中存储的当前信息。160.本实施例中,目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。161.本实施例中的目标寄存器中存储的初始信息和当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。162.b12、将目标寄存器中存储的当前信息,确定为目标寄存器的度量当前值。163.本实施例的将获取到的目标寄存器中存储的初始信息,不经过处理,直接确定为目标寄存器的度量基准值,即获取到的目标寄存器中存储的初始信息作为目标寄存器的度量基准值。164.获取到的目标寄存器中存储的当前信息,也不经过处理,直接确定为目标寄存器的度量当前值,即获取到的目标寄存器中存储的当前信息作为目标寄存器的度量当前值。165.为了减少计算量,提高运算效率,在又一些例子中,获取度量目标的度量基准值(s101),包括:166.a21、获取目标寄存器中存储的初始信息。167.本实施例中,目标寄存器中存储的初始信息可以包括:目标寄存器中各位存储的初始信息,或者目标寄存器中的目标位上存储的初始信息。168.本实施例中的目标寄存器中存储的初始信息可为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可均为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。169.a22、根据目标寄存器中存储的初始信息和第一预设算法,确定目标寄存器的度量基准值。170.本实施例中,可以使用第一预设算法,对获取的目标寄存器中存储的初始信息进行计算,将计算结果确定目标寄存器的度量基准值,如可以使用哈希算法对获取的目标寄存器中存储的初始信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量基准值。171.其中,对度量目标进行动态度量,得到所述度量目标的度量当前值(s102),可以包括:172.b21、获取目标寄存器中存储的当前信息。173.本实施例中述目标寄存器中存储的当前信息可以包括:目标寄存器中各位存储的当前信息,或者目标寄存器中的目标位上存储的当前信息。174.本实施例中的目标寄存器中存储的当前信息可均为目标寄存器中各位存储的信息即目标寄存器中存储的全部信息,也可为目标寄存器中目标位上存储的信息即目标寄存器中部分位存储的信息。175.b22、根据目标寄存器中存储的当前信息以及第一预设算法,确定目标寄存器的度量当前值。176.同样,可以使用第一预设算法,对获取的目标寄存器中存储的当前信息进行计算,将计算结果确定目标寄存器的度量当前值,如可以使用哈希算法对获取的目标寄存器中存储的当前信息进行计算,得到哈希值,将该哈希值作为目标寄存器的度量当前值。177.为进一步提高安全性,在一些例子中,第一预设算法可为基于硬件实现的算法。178.为了对寄存器指向的内存地址中存储的数据进行保护,确定内存数据是否安全,以提高内核的安全性,在再一些例子中,目标寄存器中存储的信息可为地址信息。179.目标寄存器中存储的地址信息可为内存地址信息,也可为虚拟地址信息。180.本实施例的获取度量目标的度量基准值(s101),可以包括:181.a31、获取目标寄存器中存储的初始地址信息,根据初始地址信息和第二预设算法,对初始地址信息对应的内存数据进行度量,得到第一度量结果,将第一度量结果确定为目标寄存器的度量基准值。182.本实施例的初始地址信息可为在度量任务启动前目标寄存器中存储的地址信息。183.通过目标寄存器中存储的初始地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量基准值。184.其中,对度量目标进行度量,得到度量目标的度量当前值(s102),可以包括:185.b31、获取目标寄存器中存储的当前地址信息,根据当前地址信息以及第二预设算法,对当前地址信息对应的内存数据进行度量,得到第二度量结果,将第二度量结果确定为目标寄存器的度量当前值。186.通过目标寄存器中存储的当前地址信息,可以确定该地址信息对应的内存中存储的数据,再使用第二预设对该数据进行计算,得到的计算结果确定为目标寄存器的度量当前值。187.本实施例的第二预设算法可与前述实施例中的第一预设算法相同,也可不同。188.为进一步提高安全性,在一些例子中,第二预设算法可为基于硬件实现的算法。189.为了便于灵活地选择目标寄存器,本技术一实施例,与上述实施例基本相同,不同之处在于,本实施例的获取目标寄存器中存储的初始信息(a11或a21),可以包括:190.a1.接收基本输入输出系统发送的配置信息。191.本实施例中,配置信息可以包括中央处理器核心对应的目标寄存器信息;192.基本输入输出系统(bios,basicinputoutputsystem),可为一组固化到计算机内主板上一个rom芯片(只读存储芯片)上的程序,它保存着计算机最重要的基本输入输出的程序、开机后自检程序和系统自启动程序,其主要功能是为计算机提供最底层的、最直接的硬件设置和控制。193.a2.根据目标寄存器信息,访问中央处理器核心对应的目标寄存器,并获取目标寄存器中存储的初始信息。194.安全处理器可根据目标寄存器信息,访问中央处理器核心对应的目标寄存器,从而,获取目标寄存器上存储的初始信息。195.其中,获取目标寄存器中存储的当前信息(b11或b21),可以包括:196.b.根据目标寄存器信息,访问中央处理器核心对应的所述目标寄存器,并获取目标寄存器中存储的当前信息。197.在获取目标寄存器中存储的初始信息之后,可访问中央处理器核心对应的目标寄存器,以获取目标寄存器存储的当前值。198.为在系统启动后即可对中央处理器核心对应的寄存器进行保护,在一些例子中,在接收基本输入输出系统发送的配置信息(a1)之前,所述方法还可以包括:199.a3.向基本输入输出系统发送启动指令,以使基本输入输出系统启动并配置所述配置信息。200.在基本输入输出系统启动后,可向操作系统发送启动指令,以使操作系统启动。201.本实施例中,可以在系统启动过程中,配置用于确定目标寄存器的信息,进而,安全处理器可以根据该信息,对目标寄存器进行度量,即从系统启动后,即可实现对目标寄存器的动态度量,避免了当前的动态度量技术的动态保护任务全部需要由管理员从软件层进行创建后才能开启保护,寄存器中的一些重要的数据如中断描述表等信息,没有从系统可信启动后即得到动态保护而导致的安全性较低的问题。202.为对操作系统进行安全防护的安全软件进行动态度量,提高系统的安全性,在一些例子中,度量目标还可以包括安全软件;203.本实施例的获取度量目标的度量基准值(s101),可以包括:204.a41、接收中央处理器核心发送的度量任务创建请求。205.本实施例的度量任务创建请求中可以包括安全软件在内存中的内存地址以及安全软件的度量基准值。206.本实施例中的安全软件的度量基准值可由中央处理器核心计算得到。207.其中,对度量目标进行动态度量,得到所述度量目标的度量当前值(s102),可以包括:208.b41、根据度量任务创建请求,创建度量任务,并将度量任务的标识向处理器核心发送。209.安全处理器接收到中央处理器核心发送的度量请求后,安全处理器创建度量任务,本实施例的第二度量任务用于度量安全软件。210.b42、接收处理器核心发送的度量任务启动请求,在所述度量任务中,根据第三预设算法,对安全软件在内存中的内存地址的数据进行度量,得到安全软件的度量当前值。211.本实施例的处理器核心发送的度量任务启动请求中包括度量任务标识,安全处理器根据度量任务标识,确定之前创建的度量任务,在该度量任务中,可个根据第三预设算法,对安全软件在内存中的内存地址的数据进行度量,得到安全软件的度量当前值。212.第三预设算法与计算安全软件的度量基准值时使用的算法相同。213.为进一步提高安全性,在一些例子中,第三预设算法可为基于硬件实现的算法。214.现有技术中,动态度量技术仅支持通过度量值与基准值对比方式进行判定异常,仅将需要保护数据作为一块内存,无法知道该块内存中的数据含义以及对应的数据结构,进而无法提供更细粒度的保护,本实施例中,动态度量技术与安全软件的合理结合,既弥补了安全软件自身的安全隐患,降低了中央处理器核心侧的性能消耗,又弥补了基于安全处理器的动态度量技术无法细粒度保护系统中一些重要数据的缺陷。215.为了对出现的异常情况进行处理,提高内核的安全性,在一些例子中,所述方法还可以包括:216.s104、响应于根据度量基准值和所述度量当前值不一致,度量目标的度量结果为异常结果,根据预设的异常处理策略进行异常处理。217.当度量基准值和所述度量当前值不一致时,度量结果为异常结果,则可以根据预设的异常处理策略进行异常处理。218.在一些例子中,预设的异常处理策略可在bios启动后,通过bios由用户配置、并向安全处理器发送,在通过bios配置预设的异常处理策略,还可配置发生异常时,异常处理的等级。219.当通过以上实施例的安全方案保护的数据出现异常或受到漏洞攻击时,可触发异常,此时,需要采取相应的处理策略。在一些例子中,异常处理策略可分为以下几种:220.(1)配置为最高处理等级时,一旦检测到异常,清理所有系统寄存器、清空保护项数据、触发宕机等措施。221.(2)配置为一般等级时,一旦检测到异常,将度量异常信息记录下来并使用安全处理器内部签名秘钥进行签名形成度量可信报告,供远程认证获取该信息并进一步处理。222.(3)配置为默认等级时,一旦检测到异常,可以通过保护任务创建时注册的异常回调函数通知,也可以通过安全处理器硬件连接的一些设备通知(比如喇叭、网络等)。223.还可以为安全保护软件根据软件自身的漏洞检测异常通知机制进行配置使用,也可以使用与上面异常处理机制类似的方法进行处理异常。224.下面以一具体实施例,对本技术的方案进行详细说明。225.参见图4,本实施例的软件架构主要包含核心寄存器信息获取模块和保护模块,对核心寄存器、系统内存数据完整性与漏洞检测抵御等三个部分进行保护。226.1、核心寄存器信息保护227.软件上在安全处理器中新增一个逻辑处理单元,该单元向上用于读取开放的系统寄存器信息,向下根据获取的不同寄存器的信息进行逻辑处理后分发,一些寄存器中重要的位比如cr0.wt,cr4.smap,cr4.smep等由该单元实时监控以确保不被非法篡改;一些寄存器比如idtr寄存器中存放中断描述表地址信息,可以从寄存器中获取到相应的地址信息,进行转换后获得要保护的数据内存块信息,进而可以在安全处理器内部自动实现动态完整性保护。228.参见图6,本实施例的流程如下:229.(1)参见图7,安全处理器与现有的安全启动流程一样开启可信启动引导流程。230.(2)可信启动引导到bios时,在bios中对需要保护的寄存器位及指向的重要数据信息进行配置。231.bios增加了寄存器信息保护配置设置,默认为使能保护系统寄存器中保护的数据,如果需要调整,用户可以通过bios使能或失能保护,同时可以通过bios选择需要保护的寄存器位与寄存器指向的重要数据信息以及其对应的异常处理策略。232.(3)bios配置完毕后,一方面bios继续与原有可信启动引导流程一样正常启动kernel;另一方面,通过bios与安全处理器内部通道传递bios侧配置后的寄存器信息与寄存器保护特定块信息(比如idt,sct)的异常处理策略。233.(4)安全处理器接收到bios传递过来的系统寄存器保护信息以及异常处理策略后,安全处理器根据寄存器保护信息读取需要保护的位信息以及计算相应保护内存信息的摘要值作为基准值,接着开启动态保护。234.(5)安全处理器开始周期性从核心寄存器读取信息,并经过处理后与初始记录的位值或基准值做对比,以确保需要保护内容的安全.235.(6)若对比一致,则周期性进行下一次的获取与保护,否则根据配置时配置对应的异常处理策略进行异常处理。236.本实施例,将cpu侧的重要系统寄存器(如cr0、cr4、msr等)开放给安全处理器,安全处理器可以从安全启动时自动读取到重要寄存器的内容并自行开始做度量保护,实现了在系统启动阶段,从硬件层对重要数据的保护,增强了数据的安全性。237.2、系统内存数据完整性保护238.参见图8,具体流程如下:239.(1)管理员获取系统中需要保护的内存地址。240.(2)cpu核心按照预设算法对内存中的数据进行度量,得到度量基准值。241.(3)cpu核心将内存地址及度量基准值向安全处理器发送。242.(4)安全处理器根据内存信息创建任务,返回任务id。243.本实施例的安全处理器可同时接受不通过的创建请求。244.(5)cpu核心注册异常处理器函数。245.(6)cpu核心向安全处理器发送启动度量任务保护的指令。246.(7)安全处理器开始对系统内存数据进行动态保护。247.3、漏洞检测抵御保护248.漏洞检测抵御相关技术针对已知的或未知的各种漏洞,构建出自身漏洞防御体系,当有新的命令或信息时,首先会经过漏洞检测软件详细检测,与自身的现有漏洞库中相关信息进行对比以及重要数据块进行检查,一旦检测到异常,漏洞检测软件将会丢弃相关信息或发出信息警告管理者进行处理,通过该方式,可以有效抵御大量的恶意攻击,然而安全软件本身的安全性也需得到保护。249.参见图9,使用动态度量技术实现了对安全软件自身进行保护,250.参见图9,管理员获取系统安全软件的内存信息,以对安全软件自身使用本技术以上实施例的动态度量方法进行保护,具体流程与系统内存数据完整性保护的方案类似。251.此外,为了降低对cpu核心的消耗,将安全软件中原本较耗cpu资源的周期性度量任务转移到“系统内存数据完整性保护”块由安全处理器来完成,具体过程可参照图8,仅在发送创建任务指令前,由管理员选择安全软件所能保护的数据的地址即可,其它步骤与图8相同。252.另外,安全软件(比如lkrg安全软件)位于内核层(cpu核心侧),只需要完成对内核层中的不合法控制流、非法提权以及其他各种漏洞攻击进行检测抵御。253.当通过以上安全方案保护的数据出现异常或受到漏洞攻击时,触发异常,需要采取相应的处理策略。可以根据处理器的实际能力选择配置,比如可以在系统创建保护任务时设置处理等级,由bios配置的启动自动保护的任务异常处理策略可以在bios层就完成配置。具体几种处理等级可供参考前述实施例中的相关内容。254.本实施例,利用动态度量技术将系统环境中安全保护软件(如lkrg)的周期性完整性保护任务从cpu侧转移到安全处理器侧来做,并使用安全处理器侧的硬件来计算哈希,取代原来的软件计算哈希方式,极大的提升了cpu的性能,而且,利用动态度量技术将系统环境中的安全保护软件动态保护起来,从硬件层面保证了保护软件的安全,增强了安全保护软件的安全与可信性,避免了保护软件自身的安全问题导致的安全隐患。255.本实施例充分利用动态度量与安全保护软件的各自优势进行组合,完成了一套既可以降低cpu性能消耗,又能拥有动态度量与保护软件所有优势的内核安全增强方案。256.上述实施例的方法,可以由上述芯片实施例的技术方案执行,其实现原理和技术效果类似,此处不再赘述。257.相应的,本技术的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种动态度量方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。258.需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。259.本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。260.尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。261.为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本技术时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。262.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory,rom)或随机存储记忆体(randomaccessmemory,ram)等。263.以上所述,仅为本技术的具体实施方式,但本技术的保护范围并不局限于此,任何熟悉本
技术领域:
:的技术人员在本技术揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本技术的保护范围之内。因此,本技术的保护范围应以权利要求的保护范围为准。当前第1页12当前第1页12
再多了解一些
本文用于创业者技术爱好者查询,仅供学习研究,如用于商业用途,请联系技术所有人。
